Tholen - Opeens wordt het wel erg warm in de kas. De groeibuis blijkt maximaal te stoken en de ramen zijn dicht. De scherminstallatie lijkt niet te reageren op de instraling van de zon en de irrigatie staat op standje nul. De klimaatcomputer reageert niet meer op aanpassingen, maar geeft een onbekende melding. Gegijzeld. Betalen, of je krijgt de controle over je kas niet meer terug.
Dit scenario lijkt misschien vergezocht, maar is tegelijkertijd niet onvoorstelbaar. De tuinbouw loopt voorop in het gebruiken van moderne technologieën en dat maakt de sector tegelijkertijd een doelwit voor hackers. Ook de informatie en kennis van toeleveranciers, kwekerijen en veredelaars trekken de aandacht van kwaadwillenden.
Marco van Loosen en Patrick Dankers van Priva leggen uit wat er speelt en hoe het kan dat de tuinbouw tegelijkertijd de modernste ter wereld is, maar ook ietwat naïef als het gaat om cyberveiligheid.
© Peerapong Boriboon | Dreamstime.com C
Digitale spionage
Digitale spionage uit het Oosten, kopte het FD vorige maand. Ransomware-aanvallen vormen volgens diverse cybersecurity-bedrijven een risico voor Nederlandse bedrijven. Vorige week kwam wetenschapsorganisatie NWO in het nieuws: die werd zelfs afgeperst door hackers. Hun netwerk werd gegijzeld en omdat ze geen losgeld betaalden, werd er vertrouwelijke informatie geopenbaard op het darkweb. Volgens Marco van Loosen (Information Security Lead) zijn dit dreigingen waar ook de tuinbouw zich bewust van moet zijn. Hij is vorig jaar aan de slag gegaan met de informatiebeveiliging bij Priva. Zijn collega Patrick Dankers (Portfoliomanager Horticulture) vertelt dat er verschillende manieren zijn waarop hacken in de tuinbouw een risico kan zijn. Diefstal, bijvoorbeeld, van technologie.
“We verwachten dat het gebruik van cloud-oplossingen in de tuinbouw de komende vijf jaar een vlucht neemt. Dan kun je denken aan autonoom telen, oogstrobots, oogstprognoses en de bijbehorende algoritmes, maar ook de kennis van bijvoorbeeld de veredelingsbedrijven. Allemaal technologie die interessant kan zijn voor buitenstaanders,” vertelt Patrick.
“Anderzijds heb je niet veel aan deze gegevens zonder dat je weet hoe dit in de praktijk gebruik wordt,” vult Marco aan. “Dat maakt de procesdata vanuit de kassen zelf ook een doelwit. De combinatie tussen technologie en de procesdata geeft de mogelijkheid om de kennis elders ook toe te kunnen passen, of om in ieder geval een technologische inhaalslag in de tuinbouw te kunnen maken.”
Een tweede dreiging waar de tuinbouw mee te maken kan krijgen, is het binnendringen van cybercriminelen in de kas. “Door het aanpassen van parameters of instellingen of accounts van gebruikers over te nemen kun je uiteraard veel schade veroorzaken. Dan kan er sprake zijn van gijzelen en het vragen van losgeld, maar soms zijn ze ook gewoon uit op het aanrichten van schade.”
“Eerdere DDOS aanvallen op de overheid bleken ook te zijn uitgevoerd door een puber,” geeft Patrick als voorbeeld. “Maar wie er ook achter zit, feit blijft dat verstoring van diensten een risico is dat meespeelt, zowel lokaal als in de cloud.”
Veilig en modern
Dat juist Priva hiermee naar buiten komt lijkt misschien verrassend. Het bedrijf biedt verschillende diensten aan die het aansturen en optimaliseren van een teelt via de cloud mogelijk maken. Priva deelt graag informatie over hoe deze oplossingen bijdragen aan bijvoorbeeld een autonome kas of schaalvergroting in de sector. “Het is een wankel evenwicht: we willen geen doemscenario’s schetsen of angst zaaien, maar toch is dit wel een onderwerp wat de hele sector aangaat. Op dit moment is er veel aandacht voor de mooie kansen en niet voor de risico’s. Als Priva willen we het voortouw nemen om de sector bewust te maken van de kansen die de cloudtechnologie biedt, maar wel als je die mooie technologie goed en veilig inzet. Door er scherp op te zijn en er bewust mee om te gaan, kunnen wij als Priva samen met onze gebruikers daar een bijdrage aan leveren,” vertelt Patrick.
Binnen Priva zelf heeft informatiebeveiliging een hoge prioriteit. Vorig jaar is Marco aangetrokken, die met een speciaal security team hier non-stop mee bezig is. Bij het ontwikkelen van producten en diensten wordt gewerkt op basis van bekende securityprincipes, en ook bij nieuwe releases krijgt security voldoende aandacht. Daarnaast worden er penetratietesten uitgevoerd door ethische hackers. “We laten ze los gaan op onze diensten en kijken waar we verbeteringen uit kunnen voeren. Eerst mogen ze van buitenaf proberen binnen te dringen in onze systemen en in een latere fase geven we ze die toegang zodat ze ook vanuit klantperspectief eventuele zwakke plekken in de beveiliging in kaart kunnen brengen. Bevindingen worden beoordeeld en opgelost. Met dit soort dubbele testen blijven we scherp en kunnen we het beveiligingsniveau van onze systemen continu verhogen. ”
Wachtwoord op een post-it
Ook op veel basaler niveau, bij de bedrijven zelf, is er werk aan de winkel. “Er is een grote groep klanten die serieus met cyberveiligheid omgaat, maar we herkennen de sector ook als een sector waarin enigszins naïef met veiligheid omgegaan wordt. Dat begint toch echt met de cliché zaken: bedrijven waar het wachtwoord met een post-it aan een computerscherm hangt, waar het wifinetwerk voor gasten al jaren hetzelfde wachtwoord heeft of niet gescheiden is van de andere netwerken. Het eindigt misschien met een teler die via Priva Operator met zijn iPhone de kas kan bedienen, maar niet nadenkt over hoe om te gaan met de beveiliging van zijn telefoon.”
“Als Priva doen we er alles aan om met ons cloudplatform die kennis en procesdata te beschermen: de data blijft van de klant en die is alleen in beheer van Priva. Om dat veilig te blijven doen, zetten we nu tweetrapsbeveiliging standaard aan voor nieuwe gebruikers van onze cloud services,” vervolgt Marco. “Daarmee helpen we bedrijven hierin de juiste keuzes te maken. Ook zorgen we ervoor dat bestaande bedrijfsaccounts gebruikt kunnen worden voor toegang tot ons platform zodat rechten makkelijk toegekend en afgenomen kunnen worden, bijvoorbeeld als werknemers het bedrijf verlaten. En aan bedrijven vragen we daarnaast ook zelf over de veiligheid van hun systemen na te denken. Is er iemand verantwoordelijk voor de IT? Is er iemand die alles regelmatig naloopt en controleert?”
Leergeld betaald
“Vanuit historisch perspectief is dit natuurlijk geen belangrijk onderwerp voor deze sector, omdat het relatief nieuw is. We zien nu dat grote spelers er meer mee bezig zijn – misschien ook omdat er al leergeld betaald is”, vervolgt Patrick. Marco vult aan: “Wij werken dan ook samen met de security teams van deze grote spelers om de beveiligingseisen af te stemmen. Maar ook bedrijven die zelf geen specialisten in dienst hebben, kunnen ervoor kiezen om een deel van de IT beveiliging uit te besteden.”
Het moge duidelijk zijn: het is meestal echt niet nodig om zelf ook een compleet security team op te richten. “Maar telers vragen zich soms af wat ze te verbergen hebben, of wat er mis kan gaan. Als er iemand ongemerkt in je systeem zit en toegang heeft tot procesdata, bijvoorbeeld. Maar ook hebben telers een eigen manier om een tomaat, komkommer of roos op de best mogelijke manier te telen. Hun eigen kennis zit allemaal in het systeem en dat is in de loop der jaren ontwikkeld en verfijnd. Je wil niet dat een hacker dit in handen krijgt, maar ook niet dat je buurman of concurrent erbij kan. Tegelijk wil je natuurlijk wel profiteren van de nieuwe mogelijkheden van deze technologie, wat zeker mogelijk is als we als sector voldoende prioriteit geven aan beveiliging.”
For more information:
Priva
www.priva.com
www.priva-international.com
contact.priva@priva.nl